HOMEサンプル問題・例題解説300試験の例題と解説390.2 ディレクトリの保護

300試験の例題と解説

390.2 ディレクトリの保護

今回は300試験の試験範囲から「390.2 ディレクトリの保護」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

<390.2 ディレクトリの保護>
重要度 3

<説明>
LDAPディレクトリに対する暗号化アクセスを設定し、ファイアウォールレベルでアクセスを制限できること。

<主要な知識範囲>
・SSL/TLSを用いてLDAPディレクトリのセキュリティを保護
・ファイアウォール設定の考慮事項
・非認証バインド
・ユーザ名/パスワード認証方式
・SASLユーザデータベースの保守
・クライアント/サーバ証明書

<重要なファイル、用語、ユーティリティ>
・SSL / TLS
・セキュリティ強度係数 (SSF)
・SASL
・プロキシ認証
・StartTLS
・iptables


■例題
OpenLDAPでSSL/TLSを使用して通信を保護するために不要なものを選びなさい。

1. CA(認証局)の証明書
2. サーバ証明書
3. サーバの秘密鍵
4. クライアント証明書

※この例題は実際のLPIC試験とは異なります。

解答と解説

答えは 4. クライアント証明書 です。

OpenLDAPとの通信を行うLDAPプロトコルをSSL/TLSで保護するには、HTTPS同様に各種暗号鍵、証明書を用意する必要があります。

まず、OpenLDAPサーバが使用するサーバ証明書が必要となります。サーバ証明書はCA(認証局)による電子署名が必要になりますが、小規模でプライベートな保護を行うのであれば、OpenSSLを使って自分でCAを作成する方法も選択できます。電子署名は、CAの秘密鍵が使用されます。

CAが電子署名したサーバ証明書には、CAの公開鍵が含まれます。サーバ証明書が正しいことを検証するには、このCA公開鍵が必要となります。CAの公開鍵は、OpenLDAPサーバに接続するLDAPクライアントにインストールする必要があります。

SSL/TLSで保護されたOpenLDAPサーバを動かすには、サーバの秘密鍵も必要になります。LDAPクライアントがサーバ証明書に含まれるサーバの公開鍵で暗号化した情報を、OpenLDAPサーバが復号するするために使用されます。

クライアント証明書は、接続認証を目的に使用します。たとえばOpenVPNなどでVPN環境を構築する際に、クライアント証明書を所有しているユーザーのみ接続を許可するなどの用途に使用されます。LDAPの通信を保護するという目的においては、クライアント証明書は必要ありません。



■例題作成者
株式会社びぎねっと 代表取締役社長 宮原徹氏

※上記の解説とその内容については、例題作成者の監修です。

  • 今回の解説について、理解できないポイントがあればどんどん質問を。
  • 採用になった方にはLPIオリジナルの記念品を贈呈します。
  • ご質問・ご意見はこちら
  • ※上記の解説とその内容については、例題作成者の監修です。
    内容や試験問題に関わるお問い合わせにつきましては、LPI事務局ではお応えできませんのでご了解ください。

このページのトップへ